杜國強: 我想說其實很多人在問一個問題，信息風(fēng)險其實在不同的區(qū)域，不同的行業(yè)，其實都有不同的。我想看看我們問一下Gartner張先生，信息風(fēng)險在不同的行業(yè)，不管金融，制造，電信，不同區(qū)域，華南，華北，華中，還是說大型企業(yè)，中型企業(yè)等等，或者在這個不同行業(yè)，他們的一些做法，或者一些經(jīng)驗分享給大家？

張瑾: 我是這么來看，中國的IT包括剛才說的風(fēng)險管理，實際上都是屬于一個非常不均衡。如果看關(guān)鍵行業(yè)，比如說大銀行，以及各大電信運營商，他們實際上現(xiàn)在所做到IT管理水平，實際上跟全球最高水平實際上并沒有太高差距，甚至有時候某些地方都比較領(lǐng)先，但是他只代表一部分IT用戶，我們看到很多IT用戶對IT是沒有什么具體管理，尤其是風(fēng)險管理方面實際上是非常薄弱的。

所以，我覺得現(xiàn)在最明顯的就是這種不一致性。既有最先進(jìn)，最好的管理方式，同時也有最落后原來基于人因素，沒有任何自動化，職能化的方式都會有。所以，這種不一致產(chǎn)生很多問題，并不意味著電信運營商的解決方案就能夠全都復(fù)制出來。大家所保護(hù)的東西不一樣，大家所面臨的業(yè)務(wù)風(fēng)險是不一樣的，我覺得這個市場還有很多發(fā)展?jié)摿?，以及發(fā)展的更多多樣性。

杜國強: 好的，再來一個問題，想問世行的專家。其實很直接了，從世行的角度上來看，世行采取什么樣的措施來控制這種數(shù)據(jù)風(fēng)險？

從世行的角度來講，我們有一個比較特別的挑戰(zhàn)。其中一個就是世行職責(zé)，他是一個金融機構(gòu)，我們有自己的財務(wù)管理機制，我們?yōu)楹芏鄧夜芾碡攧?wù)。所以說，我們對信息非常敏感。另外一方面，我們這個銀行跟世界簡評有關(guān)，這方面的數(shù)據(jù)必須要在世界范圍內(nèi)能夠廉價，廣泛的傳遞。

所以說，我們對于保護(hù)信息風(fēng)險這方面，我們有一個兩階段的過程。第一我們需要技術(shù)，由銀行進(jìn)行評估。比如說我們用什么樣的操作系統(tǒng)，我們買什么產(chǎn)品的時候，抗病毒，殺病毒軟件的時候我們會有一定的評估，他是否適應(yīng)我們世行這個結(jié)構(gòu)架構(gòu)。

那么，之前我也提過，你的這個組織復(fù)雜性越來越高的時候，風(fēng)險也會越來越高。而且，你要確保你正常運行的成本也會越來越高。那么，如果你使用的這個軟件，或者說這個方式不符合你們的組織架構(gòu)，那就是不行的。

James C.Nelms: 第二在認(rèn)證架構(gòu)，剛才在那5個層面解決方案你也看到了，我們有專家在各個層面分布，無論是在應(yīng)用，還是操作系統(tǒng)等等，商業(yè)單位部門也是分這5個層面，就像我剛才也提過管理，管理也是非常重要，我們商業(yè)作為一個部門我們有信息安全問題，我們有風(fēng)險管理的問題，我們也有架構(gòu)管理的層面。那么，整個管理層他是需要是否做這個工作。

杜國強: 還有一個問題，問一下賽門鐵克李先生，我們有沒有什么方法，手段來降低，或者規(guī)避這些信息風(fēng)險？也就是說，當(dāng)我們碰到這些問題的時候，我們有沒有一些應(yīng)對的能力，我想看一下李先生，賽門鐵克的李剛做一些描述？

李剛: 好的，是這樣的。因為我們剛剛談到過關(guān)于風(fēng)險的各種不同表現(xiàn)形式的問題，關(guān)于技術(shù)方面的東西我們在這里面不去多設(shè)計，我就談一下我們剛才所說的治理落地的問題。我們還是回到剛才咱們談到第一個很有趣的話題，關(guān)于危機網(wǎng)站的事情，關(guān)于信息泄露的問題。

我很贊同世行James給大家提的觀點，你在做IT治理最基本因素需要知道你要有我們講到信息，你的信息都有哪些，你信息流從業(yè)務(wù)層面上來看是什么樣，從IT層面上來看是什么樣的，這些信息哪些是敏感，哪些是不敏感，或者敏感程度是什么樣的，當(dāng)你這些信息發(fā)生泄露的時候，造成什么樣的損失。所有這些東西，事實上是一個很龐大的業(yè)務(wù)問題。

剛才我說到了，在中國很多業(yè)務(wù)問題需要有工具，需要有IT手段把它落地，你可能有一個系統(tǒng)，利用這個系統(tǒng)來幫助你去跟蹤業(yè)務(wù)的動態(tài)變化，來回答剛才這樣一些問題，這樣你所有IT治理，包括信息安全這些決策就能夠很容易的變成你的企業(yè)員工所能夠自覺遵守的一些真正可以落地的規(guī)則。

我舉例子，比如說某些信息你不能夠按照業(yè)務(wù)流程，按照我們企業(yè)治理流程，你不能出現(xiàn)在某些部門，某些人的個人電腦上。這個是最關(guān)鍵的，而不是說這個信息本身需不需要加密，我說的這是第一步，舉的這個例子就是這樣，這些都是需要有技術(shù)手段。剛才我說了把IT治理原則，來真正量化實現(xiàn)。

杜國強: 還有一個問題，我相信其實大家也想了解，我問一下Gartner張先生，從國家的角度，目前對所謂信息風(fēng)險，安全，這些整體來看，怎么樣子降低信息的一些風(fēng)險管理，國家有沒有出臺一些法令，法規(guī)，或者是一些建議指導(dǎo)，有沒有這些積極的方針？ [12:24:22]
杜國強: 實際上現(xiàn)在國家也越來越重視這個問題，實際上國家一直在想推出有關(guān)企業(yè)內(nèi)控的法規(guī)。應(yīng)該說，我們現(xiàn)在看到推遲很多次，由于種種原因，我們看到終于可以落地，是一個真正可以執(zhí)行的法規(guī)讓大家來遵守。

在企業(yè)內(nèi)控的規(guī)范里面，國家已經(jīng)規(guī)定很多相對比較細(xì)致的內(nèi)容，比如哪些東西需要保護(hù)，需要怎么保護(hù)，以及相關(guān)負(fù)責(zé)部門，或者甚至職位是誰，在這些法律法規(guī)已經(jīng)落地之后，實際上我相信還會有很多行業(yè)性法規(guī)也會跟著一起出臺，比如金融行業(yè)，證券行業(yè)，以及電信行業(yè)會有針對他們自己行業(yè)特點項目規(guī)范一系列繼續(xù)出臺。出臺之后，我相信在中國會有一個，我相信中國還不會馬上出現(xiàn)一個這么詳盡規(guī)則，但是這是一個發(fā)展方向，中國會逐漸完善自己的法律法規(guī)，在法規(guī)方面完善更好。

最后一個問題，保證是各位最有興趣的。云的數(shù)據(jù)是無所不在，你也不知道它在哪里，有一個更復(fù)雜的東西出來了，移動互聯(lián)網(wǎng)手機，每個人拿著這個手機可以到處跑，你可以發(fā)現(xiàn)云再加上互聯(lián)網(wǎng)，再加上現(xiàn)在手機移動互聯(lián)網(wǎng)，對安全，對信息風(fēng)險怎么辦，如何來做？

張瑾: 我先講一下云的問題，我們Gartner做過很多用戶調(diào)研。普遍大家都會認(rèn)為，云里面大家最關(guān)心的一個問題就是有關(guān)安全，大家覺得似乎放在云上不安全。但是，我想提出一個正好相反的概念，我覺得云在很大程度上可以提升安全。為什么這么講？大家拋開云的問題不看，大家看看自己企業(yè)實際上安全水平達(dá)到什么水平，我相信很多企業(yè)，尤其是中小企業(yè)在安全方面沒有足夠重視，沒有一套純系統(tǒng)化，能夠完全覆蓋各個方面的安全管理策略。相反，云的提供商，實際上他是有這些策略，而且這些策略是符合所有法律法規(guī)，以及行業(yè)的歸并，或者是所有IT現(xiàn)在流行最先進(jìn)，最全面的管理方案。

所以，能夠把這些東西以一種服務(wù)方式，提供給一些中小企業(yè)，我相信對于他們來說更多是提升安全，而不是損失安全。從這個角度來看，我覺得最大問題不是技術(shù)問題，不是云真得有什么東西沒有覆蓋到，還是關(guān)鍵問題。放回幾百年前，錢是放在一個罐子里面埋在自己家院子里比較安全，還是放在錢莊里面安全，對于企業(yè)云都是一個提升安全而不是損失安全的工具。

我是非常同意你的觀點，這個云的技術(shù)來講，實際上也是一樣，就像你剛剛所說的。比如說，你要是很好的移動云的話，好好的管理，我們有三種形式的云，一個是公共云，有些人管理這個服務(wù)器和數(shù)據(jù)，還有一個私人云。私人云，是指企業(yè)，比如你把東西放上去，把東西拿上來我不會關(guān)心這個技術(shù)，另外一個是混合型云，也就是說，數(shù)據(jù)是內(nèi)部的，服務(wù)器是外部管理的，我是非常同意你的說法。

James C.Nelms: 也就是說，這種責(zé)任，我們可以把數(shù)據(jù)和責(zé)任下放給別人，我們要看一下你要負(fù)什么責(zé)任，你要為你的數(shù)據(jù)負(fù)責(zé)任，要為你的決定負(fù)責(zé)任，是不是要把它放上去，有很好的控制之外，云肯定會提高安全性。

杜國強: 你把我的數(shù)據(jù)放在云的提供上更加安全，但是要把責(zé)任歸屬講清楚，萬一發(fā)生問題的時候怎么辦。

李剛: 在一個星期之前一個論壇上面，我完全贊成張總這邊看法，我們也談到同樣觀點。事實上云不是帶來了風(fēng)險，尤其是對中國客戶，尤其對中國中小企業(yè)來說，云應(yīng)該是中小企業(yè)安全的一個終極解決方案，使之變的更安全。比如像容災(zāi)，我們不相信中小企業(yè)建立自己的容災(zāi)系統(tǒng)，但是云容災(zāi)系統(tǒng)顯然是一個非常好的方向。

有一個報告，中國云的采納率是遠(yuǎn)遠(yuǎn)高于美國，云模式是提高企業(yè)生產(chǎn)率，提高企業(yè)IT價值很重要一個革命性方向。中國在這方面落后于美國，落后在什么地方？就是對安全，在這里面又想談到所謂IT治理問題，很多中國企業(yè)，他之所以不敢把他的業(yè)務(wù)遷移到云上面去，一個很重要的原因他甚至根本不知道自己的敏感信息，或者敏感的業(yè)務(wù)流程是什么。所以，他采取一種保守策略，干脆什么不往云上面放，但是事實上恰恰相反。

在這里也借這個論壇呼吁，中國的企業(yè)真的可以開始認(rèn)認(rèn)真真討論云戰(zhàn)略，認(rèn)真豎立自己企業(yè)內(nèi)部IT。這也是中國優(yōu)勢，政府可以主導(dǎo)來把這個云的安全理念，這種規(guī)范，這種第三方審計，這種服務(wù)機構(gòu)迅速引入這個市場里面，使得中國整個國民經(jīng)濟(jì)能夠更好的進(jìn)行云革命新的進(jìn)步。

杜國強: 好的，我想說其實信息風(fēng)險不管叫安全保護(hù)等等，其實這個課題絕對是一個很大的課題。而且這個課題絕對不是技術(shù)搞定，必須牽扯到人，牽扯到內(nèi)部的流程控管等等。這些因素，IT能夠把這些人員因素，流程因素更加簡化。

zhabin